发布日期：2019-08-12
更新日期：2019-08-12

受影响系统：

Apache Hadoop 3.0.0-alpha1
Apache Hadoop 3.0
Apache Hadoop 2.9
Apache Hadoop 2.8.3
Apache Hadoop 2.8.2
Apache Hadoop 2.8
Apache Hadoop 2.7.5
Apache Hadoop 2.7.4
Apache Hadoop 2.7.3
Apache Hadoop 2.7.2
Apache Hadoop 2.7.1
Apache Hadoop 2.7
Apache Hadoop 2.6.5
Apache Hadoop 2.6.4
Apache Hadoop 2.6.3
Apache Hadoop 2.6
Apache Hadoop 2.5.2
Apache Hadoop 2.5.1
Apache Hadoop 2.5.0

不受影响系统：

Apache Hadoop 3.0.1
Apache Hadoop 2.9.1
Apache Hadoop 2.8.4
Apache Hadoop 2.7.6

描述：

---

BUGTRAQ  ID: 106764
CVE(CAN) ID: CVE-2018-1296

Apache Hadoop是美国阿帕奇软件基金会的一套开源的分布式系统基础架构。
Apache Hadoop 3.0.0-alpha1至3.0.0、2.9.0、2.8.0至2.8.3和2.5.0至2.7.5版本中存在访问绕过漏洞，该漏洞源于HDFS在listXAttrs期间泄露扩展的属性键/值对，只验证了目录的路径级搜索权限，而未验证引用对象的路径级读取权限。攻击者可利用该漏洞绕过安全限制执行未经授权的操作导致可能有助于发动进一步的攻击。

<*来源：Rushabh Shah
  
  链接：https://hadoop.apache.org/cve_list.html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cv
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2018-1296）以及相应补丁:
CVE-2018-1296：CVE-2018-1296 Apache Hadoop HDFS Permissive listXAttr Authorization
链接：https://hadoop.apache.org/cve_list.html#cve-2018-8009-http-cve-mitre-org-cgi-bin-cvename-cgi-name-cv

补丁下载：

浏览次数：1723
严重程度：0（网友投票）